В менеджере паролей 1Password появилась новая концептуальная функция, которая предупреждает пользователя, если он использует пароль, который когда-либо похищали злоумышленники. Нововведение использует сервис Pwned Passwords, представленный экспертом в области сетевой безопасности Троем Хантом (Troy Hunt). Этот сервис даёт возможность проверить, утекал ли когда-либо ваш пароль в Сеть. База данных состоит более чем из 500 млн паролей, полученных в результате анализа прошлых взломов.

Воспользоваться новым сервисом может любой подписчик 1Password. Для этого достаточно войти в учётную запись, нажать «Открыть хранилище» (Open Vault) и выбрать элемент, чтобы просмотреть его подробности. На macOS, чтобы использовать новую функцию, нажмите и удерживайте Shift-Control-Option-C, на Windows — Shift+Ctrl+Alt+C. Затем кликните по кнопке «Проверить пароль» (Check Password), чтобы узнать, присутствует ли он в базе Ханта.



AgileBits, разработчик 1Password, говорит, что такая проверка безопасна. Компания хеширует пароль с помощью алгоритма SHA-1 и отправляет первые пять символов 40-значного хеша в сервис Ханта. Затем Pwned Passwords возвращает список хешей утёкших паролей, которые начинаются с тех же пяти символов. Наконец, 1Password локально сравнивает результаты.



Компания отмечает, что даже если хеши совпали, это не обязательно означает, что ваш аккаунт был взломан — возможно, просто кто-то другой использовал такой же пароль. Как бы то ни было, AgileBits рекомендует в случае совпадения поменять пароль. В будущем разработчик планирует встроить функцию в инструмент Watchtower в приложениях 1Password.

---